La Tartine #89
La malédiction des patchs de sécurité frappe (encore) les RSC
Hello 👋,
Cette semaine, l’écosystème React a pris un sacré coup. Après deux CVEs critiques en décembre (dont deux CVSS 10.0, la note maximale), voilà que les React Server Components enchaînent avec trois nouvelles vulnérabilités en janvier. Le bilan est brutal : 5 CVEs en moins de 2 mois. À ce rythme-là, on va finir par avoir un “Patch Tuesday” comme les bons vieux plugins WordPress.
Pendant ce temps : Yarn se réécrit en Rust pour dépasser pnpm, Zed s’impose comme le cockpit des power users IA, et les skills arrivent en masse sur skills.sh ( déjà +34 000 skills dispo en 1 semaine ).
Bref, janvier 2026 nous rappelle une vérité qui dérange : les abstractions modernes ont un coût. Et ce coût se paie en bugs, en CVEs, et en obligation de patcher en urgence.
Allez, on attaque ! ☕
🍓 Le focus de la semaine
DoS vulnerability in Next.js and React Server Components
Plusieurs vulnérabilités de déni de service ont été découvertes, pouvant faire planter des serveurs ou provoquer une utilisation très élevée de la mémoire ou du processeur. Ces problèmes affectent les React Server Components ainsi que certaines configurations Next.js auto-hébergées dans des conditions spécifiques. Des correctifs sont disponibles dans les dernières versions de React et Next.js :
Vercel et Netlify ont immédiatement déployé des mitigations au niveau de leurs WAF , mais tous les utilisateurs en self-hosted doivent upgrader immédiatement.
Les patchs sont disponibles, mais la communauté questionne maintenant l’architecture RSC elle-même.
Après les CVE de décembre qui avait déjà touché les RSC, ça commence à faire beaucoup..
Les React Server Components promettaient de révolutionner le développement. Mais cette complexité se paie en bugs, en failles de sécurité, et en dette technique.
🥪 JamSnack
Yarn 6 Preview
Yarn annonce sa v6 en preview, entièrement réécrite en Rust. Les benchmarks montrent qu’il dépasse maintenant pnpm sur tous les fronts. Au programme : “Yarn Switch” (changer de version dans n’importe quel projet), “Lazy Installs” (installe uniquement ce dont vous avez besoin), et compatibilité stricte avec npm.
Introducing: Sanity Agent Skills
Sanity a publié une première série de Agent Skills orientées dev, couvrant notamment la modélisation de schémas, l’écriture de requêtes GROQ, la Visual Editing / Presentation, les migrations de contenu, et les meilleures pratiques SEO.
Ces skills servent de règles explicites pour aider les agents IA à générer du code Sanity robuste et aligné avec les conventions de Sanity.
Jon Eide Johnsen
AGENTS.md outperforms skills in our agent evals
Vercel montre qu’un simple fichier AGENTS.md injecté dans le contexte de l’agent surpasse largement les skills pour utiliser correctement des API récentes. En fournissant un contexte passif, toujours présent, AGENTS.md évite les problèmes de déclenchement des skills et améliore fortement la fiabilité des agents.
Jude Gao
LangChain vs Vercel AI SDK vs OpenAI SDK: Choosing the Right AI Framework
Strapi compare LangChain, Vercel AI SDK et OpenAI SDK en montrant qu’ils répondent à des besoins très différents dans la création d’applications IA. Aucun framework ne gagne sur tous les critères : l’OpenAI SDK domine l’adoption en production grâce à sa simplicité et à un bundle minimal, idéal pour une intégration directe. Le Vercel AI SDK se différencie par l’expérience React/Next.js et l’engagement des développeurs, tandis que LangChain JS reste le plus complet pour les architectures agents et RAG, au prix d’une complexité et d’un bundle plus élevés.
Paul Bratslavsky
Is Zed ready for AI power users in 2026?
Si Cursor reste le roi de l’expérience “clé en main”, Zed s’impose désormais comme le choix des power users grâce à sa rapidité (Rust) et une intégration poussée du protocole MCP. L’éditeur délaisse la magie “boîte noire” pour offrir un véritable cockpit modulaire, idéal pour ceux qui veulent un contrôle total sur leurs agents et modèles sans sacrifier la fluidité de l’interface.
Matt Abrams
AI Visibility, GEO, and the Coming Drop in Organic Traffic
Les moteurs de réponses IA (ChatGPT, Perplexity, Gemini) deviennent le nouveau canal de découverte, provoquant une chute du trafic organique même quand les rankings SEO restent stables. Bejamas présente les bases du GEO (Generative Engine Optimization) : optimiser son contenu pour être compris et cité par les LLMs via du markup structuré, des fichiers llms.txt, et des versions markdown. Les entreprises doivent tracker comment les agents IA crawlent leur site et adapter leur stratégie avant que leur visibilité ne s’effondre.
Darren et Mojtaba, Bejamas
🍯 Vidéos & Événements
📺 I don’t really use libraries anymore - Theo - t3․gg
📺 TanStack AI: What You Need To Know To Start - Jack Herrington
📺 Celebrating 10 Million Developers (Launch Livestream) - Netlify
📺 Brennan Dunn’s Team of (AI) Developers - Brian Casel
📺 Bun in 100 Seconds - Fireship
Conférences à venir :
React Paris 26 & 27 Mars 2026 à Paris
JS Nation 11 & 15 juin 2026 à Amsterdam
React Summit 12 & 16 juin 2026 à Amsterdam
Reactnorway - 5 juin 2026 à Oslo
International JavaScript Conference London - 11 au 15 2026 à Londres
DevLille - 11 & 12 Juin à Lille
Partage la Tartine 🍞
Si cette Tartine t’a plu, lâche un petit ❤️ en bas ou écris-moi un mot, ça compte beaucoup plus que tu le crois 🙌.
Et si t’as une réaction, une question, ou juste envie de dire bonjour : ma boîte mail est grande ouverte. À très vite !
Un plaisir à lire chaque semaine ! On veut de la tartine tous les matins ! ✌️